DE10116703A1 - Verfahren zur Aufzeichnung eines Verbrauchswertes und Verbrauchszähler mit einem Meßwertgeber - Google Patents
Verfahren zur Aufzeichnung eines Verbrauchswertes und Verbrauchszähler mit einem MeßwertgeberInfo
- Publication number
- DE10116703A1 DE10116703A1 DE10116703A DE10116703A DE10116703A1 DE 10116703 A1 DE10116703 A1 DE 10116703A1 DE 10116703 A DE10116703 A DE 10116703A DE 10116703 A DE10116703 A DE 10116703A DE 10116703 A1 DE10116703 A1 DE 10116703A1
- Authority
- DE
- Germany
- Prior art keywords
- consumption
- message
- security module
- tariff
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Ceased
Links
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00733—Cryptography or similar special procedures in a franking system
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F15/00—Coin-freed apparatus with meter-controlled dispensing of liquid, gas or electricity
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00016—Relations between apparatus, e.g. franking machine at customer or apparatus at post office, in a franking system
- G07B17/0008—Communication details outside or between apparatus
- G07B2017/00153—Communication details outside or between apparatus for sending information
- G07B2017/00169—Communication details outside or between apparatus for sending information from a franking apparatus, e.g. for verifying accounting
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00185—Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
- G07B17/00193—Constructional details of apparatus in a franking system
- G07B2017/00258—Electronic hardware aspects, e.g. type of circuits used
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00733—Cryptography or similar special procedures in a franking system
- G07B2017/00741—Cryptography or similar special procedures in a franking system using specific cryptographic algorithms or functions
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00733—Cryptography or similar special procedures in a franking system
- G07B2017/00959—Cryptographic modules, e.g. a PC encryption board
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Telephonic Communication Services (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Ein Verbrauchszähler (1) mit Meßwertgeber (104, 105), Anzeigeeinheit (4) mit Sicherheitsmitteln (S1, S2, 18), mit einer Zuführ- und Abgabeeinrichtung (8, 6) und eine Kommunikationseinrichtung (101) wird von einem Sicherheitsgehäuse (10) umschlossen. Der Sicherheitsmodul (100) hat einen nichtflüchtigen Speicher (124, 129) zur Speicherung temporär gültiger Tarife und ist programmiert, eine Abgabegebühr, basierend auf dem Verbrauchswert, tarifabhängig zu berechnen. Ein Verfahren zur Aufzeichnung eines Verbrauchswertes umfaßt eine nichtflüchtige Speicherung von Tarifwerten, Analog/Digital-Wandlung und Verarbeitung der Meßwerte, Liefern und Auswerten von Zeitdaten zur Ermittlung mindestens eines Verbrauchswertes, eine tarifabhängige Ermittlung mindestens einer Abgabegebühr entsprechend des vorgenannten Verbrauchswertes, Bildung einer Nachricht, welche mindestens die Abgabegebühr einschließt, Sichern der Nachricht mittels eines Überprüfungscodes, Aufzeichnung einer Mitteilung (m1), welche die Nachricht und den Überprüfungscode enthält, Kommunikation mit einem entfernten Server (2) zur Übermittlung der kryptographisch gesicherten Nachricht in Form eines ersten Datensatzes (D1).
Description
Die Erfindung betrifft ein Verfahren zur Aufzeichnung eines Verbrauchs
wertes, gemäß der im Oberbegriff des Anspruchs 1 angegebenen Art und
einen Verbrauchszähler mit einem Meßwertgeber, gemäß der im Ober
begriff des Anspruchs 10 angegebenen Art. Der Verbrauchszähler hat
einen Sicherheitsmodul zur Erhöhung der Fälschungssicherheit. Ein
solcher kann in Verbrauchszählern und ähnlichen Geräten eingesetzt
werden, die in einer potentiell unfreundlichen Umgebung, beispielsweise
in Maschinenbaubetrieben, in öffentlichen oder privaten Gebäuden,
arbeiten.
Bei der Postbearbeitung, bei welcher ebenfalls eine hohe Fälschungs
sicherheit gefordert wird, kommen bereits kryptographische Sicherheits
maßnahmen bei einer Abrechnung von Frankierungen und bei der
Erzeugung einer für einen jeden Frankierabdruck einzigartigen Markierung
zum Einsatz.
Unter dem Titel: "Methode and arrangement for generating and checking
a security imprint" wurde bereits in der US 5.953.426 ein spezielles Secret
Key Verfahren vorgeschlagen. Der geheime Schlüssel (Secret Key) wird
in einer sicheren Datenbank an der Verifizierungsstelle, typischerweise bei
der Postbehörde, aufgehoben und damit geheim gehalten. Aus den Daten
einer zu übermittelnden Botschaft wird ein Data Authentication Code
(DAC) gebildet, der in eine Markierungssymbolreihe umgesetzt wird,
welche dann als sogenannte digitale Unterschrift zur Authentifikations
prüfung der Botschaft verwendet werden kann. Dabei wird der auch aus
der US 3,962,539 bekannte Data Encryption Standard (DES)-Algorithmus
angewendet. Letzterer ist der bekannteste symmetrische Kryptoalgorith
mus. Mit einem symmetrischen Kryptoalgorithmus lassen sich bei Daten
des o. g. DAC oder bei Mitteilungen ein Message Authentifications Code
(MAC) erzeugen, wobei solche Code zur Authentifikationsprüfung verwen
det werden. Beim symmetrischen Kryptoalgorithmus steht dem Vorteil
eines relativ kurzen MAC's der Nachteil eines einzigen geheimen
Schlüssel gegenüber.
Der Vorteil eines asymmetrischen Kryptoalgorithmuses wird durch einen
öffentlichen Schlüssel begründet. Ein bekannter asymmetrischer Krypto
algorithmus, der nach den Namen seiner Erfinder R. Rivest, A. Shamir und
L. Adleman benannt und im US 4,405,829 beschrieben wurde, ist der
RSA-Algorithmus. Bekanntlich entschlüsselt der Empfänger mit einem
privaten geheimen Schlüssel eine verschlüsselte Nachricht, welche beim
Sender mit einem öffentlichen Schlüssel verschlüsselt wurde. Der
Empfänger hält seinen privaten Schlüssel geheim, aber verschickt den
zugehörigen öffentlichen Schlüssel an potentielle Absender. RSA war das
erste asymmetrische Verfahren, das sich sowohl zur Schlüssel
übermittlung als auch auch zur Erstellung digitaler Unterschriften eignete.
Mit dem privaten Schlüssel lassen sich ebenfalls digitale Unterschriften
erzeugen, wobei die öffentlichen Schlüssel zur Authentifikation der
Signatur dienen. Sowohl RSA, wie auch digitale Signatur-Algorithmen
benutzen zwei Schlüssel, wobei einer der beiden Schlüssel öffentlich ist.
Der Schlüsseleinsatz erfolgt hierbei in der umgekehrten Reihenfolge. Die
Implementation des RSA-Algorithmus in einem Computer ergibt aber eine
außerordentlich langsame Abarbeitung und liefert eine lange Signatur.
Es wurde schon ein Digital Signatur Standard (DSS) entwickelt, der eine
kürzere digitale Unterschrift liefert und zu dem der Digital Signatur
Algorithm (DSA) nach US 5,231,668 gehört. Diese Entwicklung erfolgte
ausgehend von der Identifikation und Signatur gemäß dem Schnorr-
Patent US 4,995,085 und ausgehend vom Schlüsseltausch nach Diffie-
Hellman US 4,200,770 bzw. vom ElGamal-Verfahren (El Gamal, Taher, "A
Public Key Cryptosystem and a Signatur Scheme Based on Diskrete
Logarithms", 1III Transactions and Information Theory, vol. IT-31, No. 4,
Jul. 1985). Beim asymmetrischen Kryptoalgorithmus steht dem Vorteil des
Verwendens eines öffentlichen Schlüssels der Nachteil einer relativ
langen digitalen Unterschrift gegenüber.
In der US 6.041.704 wurde unter dem Titel: "Methode for operating a
digitally printing postage meter to generate and check a security imprint"
vorgeschlagen, ein modifiziertes Public Key-Verfahren für eine kürzere
Signatur zu verwenden. Jedoch ist nur mit außerordentlich schnellen
Prozessoren eine außerordentlich lange andauernde Datenverarbeitung
zu vermeiden. Um den geheimen privaten Schlüssel vor einem Diebstahl
aus einem Computer oder aus einer Frankiermaschine zu schützen, muß
ein Sicherheitsbereich geschaffen werden, denn die gesamte Sicherheit
der Signatur beruht darauf, dass der private Schlüssel nicht bekannt wird.
Der öffentliche Schlüssel könnte dagegen in einer Vielzahl von Post
institutionen zur Überprüfung der Signatur verwendet werden. Ein solcher
Sicherheitsbereich wird in Geräten durch einen sogenannten Sicherheits
modul geschaffen. Nachteil ist, dass letzterer eine hohe Rechenleistung
aufweisen muß, um in Echtzeit oder in einer vertretbaren Zeitdauer die
Datenverarbeitung abzuschließen.
Die Datenverarbeitung einer Hash-Funktion ist dagegen sogar um zwei bis
vier Größenordnungen schneller als die Datenverarbeitung der digitalen
Signatur oder der asymmetrischen Verschlüsselung. Die Bildung einer
Quersumme ist ein sehr einfaches Beispiel für eine Hash-Funktion. Die
Bytefolge einer Information wird einerseits zu einen Hashwert komprimiert
und andererseits unterscheidet sich der Hashwert von anderen Hash
werten, die aus anderen Informationen gebildet wurden. Bei den in der
Kryptografie genutzten Einweg-Hashfunktionen ist es nahezu unmöglich
eine andere Bytefolge zu bilden, die denselben Hashwert ergibt. Die
Einweg-Hashfunktionen sollen generell nicht umkehrbar sein. Eine von
Ron Rivest im Jahre 1991 entwickelte Einweg-Hashfunktionen MD5 hat
einen 128 Bit langen Hashwert soll aber nicht so sicher sein wie MD160
oder SHA (Secure Hash Algorithm). Die beiden letzteren verwenden einen
160-Bit Hashwert. Der SHA wurde vom NIST unter Mitwirkung der NSA
entwickelt und im Jahre 1994 publiziert. Der SHA ist Bestandteil des
Digital Signatur Algorithm (DAS). Die gesammelten Aufzeichnungen kön
nen zur Inspektion an eine dritte Stelle versandt bzw. gesendet werden.
An jede individuelle Aufzeichnung könnte ein Message Authentication
Code (MAC) angehängt werden. Das erfordert eine zentrale Speicherung
eines Geheimschlüssels, welcher für jeden Sicherheitsmodul einzigartig
ist.
Bei einer Frankiermaschine vom Typ JetMail® wird bereits ein Sicherheits
modul (EP 1.035.513 A2, EP 1.035.516 A2, EP 1.035.517 A2, EP 1.035.518 A2)
eingesetzt, das einen symmetrischen Kryptoalgorithmus
nutzt. Eine Schlüsselübertragung zwischen dem Sicherheitsmodul und
einer Datenzentrale erfolgt mittels einem DES-verschlüsselten Datensatz,
welcher außerdem MAC-gesichert ist. Die kryptographische Berechnung
ist aber nur eine der Sicherheitsmaßnahmen bei einer Abrechnung von
Dienstleistungen und Berechnung einer Gebühr für die Abgabe der
Dienstleistungen sowie bei einer Übermittung des Abrechnungsergebnis
ses bzw. der Buchung zu einer entfernten Datenzentrale. Ein Sicherheits
modul muß auch einen physikalischen oder chemischen Angriff über
stehen. Ein solcher Angriff kann ebenfalls detektiert und aufgezeichnet
werden.
Aus der US 4,812,965 ist bereits ein System für ein entfernte Inspektion
eines Gerätes bekannt geworden, welche das Erfordernis einer lokalen
Inspektion reduziert. Jede Fälschungshandlung wird von dem Gerät
aufgezeichnet und zu einer zentralen Station übermittelt. Jedoch schützt
diese Lösung nicht gegen solche Angriffe, wie die "Man in the middle
Atacke", die gestartet werden, wenn eine Information via Modem zur
zentralen Station gesendet wird.
Im EP 504 843 B1 (US 5.243.654) wurde bereits ein Gebührenerfas
sungssystem mit aus der Ferne rückstellbarer Zeitsperre und mit einem
Gerät vorgeschlagen, das zur Abgabe einer verbuchbaren Größe
(Energie) ausgestattet ist, wobei der Benutzer eines Gerätes dazu ge
zwungen ist, dem Datenzentrum regelmäßig den Stand der Abrechnungs
register mitzuteilen. Nachteilig ist, dass kein Sicherheitsmodul vorhanden
ist und dass ein Benutzer eine Kombination in das Gerät eingeben muß.
Als einzige Sicherheitsmaßnahme ist ein Siegel oder eine Plombe am
Verbrauchszähler vorgesehen. Bei einer Umgehung dieser Sicherheits
maßnahme kann die Aufzeichnung des Verbrauchswertes in Fälschungs
absicht manipuliert werden. Durch solche Manipulationen geht den
(Energie-)Versorgungsunternehmen regelmäßig viel Geld verlohren.
Während den Großkunden einerseits die Möglichkeit geboten wird, mit
günstigen Tarifen legal Geld zu sparen, wird Kleinkunden andererseits
kein Anreiz geboten, verbilligte Tarife zu nutzen. Dabei ist offensichtlich
nur zu Spitzenzeiten des Verbrauches beispielsweise die Energie teuerer
bzw. die Dienstleistung schwieriger zu erbringen, was dann natürlich dem
Kunden des Dienstleistungs- oder Versorgungsunternehmens in berech
tigter Weise in Rechnung gestellt wird.
Es ist Aufgabe, ein Verfahren zur Aufzeichnung eines Verbrauchswertes
mit hoher Fälschungssicherheit zu schaffen, welche für den Kunden eine
Gebührenabrechnung vereinfacht oder kostensparend durchzuführen
gestattet und dass für eine automatische und sichere Kommunikation mit
einem entfernten Server des Dienstleistungs- oder Versorgungsunter
nehmens geeignet ist.
Es ist weiterhin Aufgabe, einen Verbrauchszähler mit einem Meßwert
geber zu schaffen, wobei feststellt werden kann, wenn am Verbrauchs
zähler manipuliert wird. Durch eine Vielzahl an unterschiedlichen temporär
gültigen Tarifen soll auch dem Kleinkunden gestattet werden, Geld einzu
paren. Dabei soll der lokale Aufwand möglichst gering sein.
Die Aufgabe wird mit den Merkmalen des Anspruchs 1 für das Verfahren
bzw. mit den Merkmalen des Anspruchs 10 für den Verbrauchszähler
gelöst. Letzterer wird mit einem Sicherheitsmodul ausgestattet.
Ein Verbrauchszähler ist ein Gerät mit Zufuhr und Abgabe von Materie
unter Ermittlung einer verbuchbaren Größe. Ein Sicherheitsmodul ist ein
Aufzeichnungsmodul für die Buchung oder Abrechnung einer Abgabege
bühr, welches mit Sicherheitsmitteln ausgestattet ist. Ein Verbrauchs
zahler, beispielsweise ein Energiezähler, wird mit einem Sicherheitsmodul
und mit einem Kommunikationsmittel ausgestattet, wobei letzteres eine
automatische und sichere Kommunikation mit einem entfernten Server
des Dienstleistungs- oder Versorgungsunternehmens gestattet. Die Ermit
telung einer verbuchbaren Größe, wie die Energie, erfordert eine
Analog/Digital-Umwandlung mindestens einer analogen Meßgröße und
eine Berechnung nach einem ersten mathematischen Algorithmus. Der
Sicherheitsmodul ist mit einem internen A/D-Wandler und mit einem
Mikroprozessor ausgestattet, der zur Berechnung nach dem ersten
mathematischen Algorithmus programmiert ist. Die dienstleistungs- bzw.
verbrauchswertabhängige Abrechnung einer Abgabegebühr, erfolgt
basierend auf einer Echtzeit in temporär unterschiedlicher Weise. So
können beispielsweise Tarife für Tag und Nacht, Werktags und Wochen
ende, Sommer und Winter unterschiedlich sein. Der Sicherheitsmodul ist
mit einer internen batterie-versorgten Echtzeituhr und einer Abrechnungs
einheit, zum Beispiel einer Hardwareabrechnungseinheit, ausgestattet.
Nach Abrechnung der Abgabegebühr nach zugehörigen Tarif entspre
chend der Verbrauchszeitdauer und der aktuellen Zeit erfolgt eine Bildung
einer Nachricht zur Aufzeichnung mindestens der Abgabegebühr. Die Auf
zeichnung kann neben der Abgabegebühr, den Verbrauch, den zugehöri
gen Tarif, die Verbrauchszeitdauer und die aktuelle Zeit enthalten.
Vorzugsweise am Ende jedes Zeitabschnittes der Verbrauchszeitdauer
erfolgt die Sicherung der Aufzeichnung durch einen Authentisierungscode.
Die Zeitabschnitte werden periodisch und/oder ereignisbasierend gebildet.
Der Sicherheitsmodul ist zur Berechnung des Authentisierungscodes nach
einem ersten kryptographischen Algorithmus programmiert. Der Sicher
heitsmodul ist mit einem Watchdogtimer ausgestattet, der die Kommuni
kationsmittel regelmäßig für eine Kommunikation mit dem entfernten
Server freischaltet. Ein gescheiterter Kommunikationversuch wird in Zeit
abständen solange wiederholt, bis eine Verbindung zustande kommt oder
bis ein Kreditrahmen überschritten ist. In dem letzteren Fall, wird der
Verbrauchszähler für die Abgabe der Verbrauchswerte gesperrt. Der Ser
ver überwacht, ob im erwarteten Zeitrahmen vom Verbrauchszähler des
Kunden eine Meldung eingegangen ist und ob letztere authentisch ist. Die
Meldung enthält verschlüsselte und zusätzlich mit einer digitalen Signatur
gesicherte Daten, welche mittels des Mikroprozessors nach einem zweiten
kryptographischen Algorithmus verschlüsselt und nach einem dritten
kryptographischen Algorithmus signiert werden. Der Mikroprozessor über
wacht, ob an dem Verbrauchszähler oder am Sicherheitsmodul manipu
liert wurde. Beispielsweise ist ein Sensor zur Ermittlung vorgesehen, ob
der Verbrauchszähler illegal abgeklemmt oder via Bypass überbrückt
wurde. Die Meldung an den Server enthält entsprechend gesicherte
Sensordaten. Der Server kann die Abgabe des Verbrauchswertes in
Auswertung der übermittelten Daten sperren.
Für die Meldung wird ein asymmetrisches Verschlüsselungsverfahren als
zweiter kryptographischer Algorithmus eingesetzt, um einen verschlüssel
ten Datensatz mit Abgabe- bzw. Verbrauchswerten, Zeitdaten, Sensor
daten ggf. Schlüsseln u. a. Daten auszutauschen. Geeignet ist beispiels
weise das RSA-Verfahren, wobei beim Absender ein Datensatz mit einem
Public Key des Empfängers verschlüsselt wird. Beim Empfänger erfolgt
eine Entschlüssellung des verschlüsselten Datensatzes erfolgt mit dem
zugehörigen Privat Key des Empfängers.
Ein digitalen Signatur basierend auf einem dritten kryptographischen
Algorithmus erfolgt beispielsweise mit dem umgekehrten RSA-Verfahren,
wobei beim Absender ein gehashter Datensatz mit einem Privat key des
Absenders verschlüsselt wird und beim Empfänger mit dem zugehörigen
Public Key des Absenders entschlüsselt wird. Der auf vorgenannte Weise
wiedergewonnene gehashte Datensatz wird mit einem gehashten
Vergleichsdatensatz verglichen. Der Vergleichsdatensatz wird beim Em
pfänger aus dem verschlüsselten Datensatz durch Entschlüsselung und
Anwendung der gleichen Hash-Funktion erzeugt. Bei Übereinstimmung
des wiedergewonnenen gehashten Datensatzes mit dem gehashten
Vergleichsdatensatz gilt die vom Server empfangene Meldung als
authentisch und die übermittelten Werte werden gespeichert.
Vorteilhafte Weiterbildungen der Erfindung sind in den Unteransprüchen
gekennzeichnet bzw. werden nachstehend zusammen mit der
Beschreibung der bevorzugten Ausführung der Erfindung anhand der
Figuren näher dargestellt. Es zeigen:
Fig. 1, Darstellung eines bekannten RSA-Verfahrens,
Fig. 2, Darstellung eines Signier-Verfahrens unter Anwendung von RSA,
Fig. 3, Darstellung des Schlüsseltausches,
Fig. 4, Darstellung des Systems für eine kryptigraphisch gesicherte
Kommunikation,
Fig. 5, Darstellung eines Verbrauchszählers,
Fig. 6, Blockschaltbild eines Energieverbrauchszählers,
Fig. 7, Blockschaltbild eines Sicherheitsmoduls.
In der Fig. 1 wird der Flußplan eines Public Key-Verfahrens am Beispiel
von RSA erläutert. Die Anwendung asymmetrischer Verschlüsselungs
algorithmen (RSA, ElGamal) erfordert die Generierung eines
Schlüsselpaares:
(ek, dk) ← genKey(k). (1)
Ein Verschlüsselungsschlüssel ek ist öffentlich und ein Entschlüsselungs
schlüssel dk ist privat. Der öffentliche Verschlüsselungsschlüssel ek, n
wird zum Teilnehmer am Absendeort einer Mitteilung übermittelt. Dabei ist
beispielsweise durch einen authentischen Kanal oder ein Zertifikat zu
sichern, dass der öffentliche Verschlüsselungsschlüssel nicht zwischen
Bestimmungsort und Absendeort ausgetauscht wird und im Rahmen einer
"man in the middle attack" mißbraucht wird. Zur Verschlüssellung der
Mitteilung m am Absendeort zum Chiffriertext c ist eine mathematische
Operation vorgesehen:
c ← encrypt (ek, m) (2)
Bei RSA kommt eine sogenannte modulare Arithmetik bzw. Kongruenz
rechnung zum Einsatz. Zwei natürliche Zahlen a und c heißen kongruent
modulo n, wenn a und c den gleichen Rest bei einer Teilung durch n
lassen. Man setzt a = mek und erhält zum Beispiel: c ∼ mek (mod n)
Der Chiffriertext c kann nun über einen ungesicherten Kanal zum
Bestimmungsort übermittelt werden. Zur Entschlüssellung des Chiffrier
textes c ist eine Operation vorgesehen:
m ← decrypt (dk, c) (3)
Der zweite Teilnehmer am Bestimmungsort entschlüsselt mit seinem
privaten Entschlüsselungsschlüssel dk den Chiffriertext c zur Mitteilung:
m' ∼ cdk (mod n). Letztere stimmt nach den Gesetzen der modularen
Arithmetik mit der ursprünglichen Mitteilung m überein, wenn m' und cdk
kongruent modulo n. Es gilt somit: m = m'.
In der Fig. 2 wird der Flußplan eines Signier-Verfahrens am Beispiel von
RSA erläutert. Die Anwendung digitaler Signaturmechanismen (RSA, DSA
oder ECDSA) erfordert ebenfalls die Generierung eines Schlüsselpaares.
Zunächst wird ein öffentliche Verifizierschlüssel vk, n zum zweiten Teil
nehmer am Bestimmungsort übermittelt, beispielsweise über einen
authentischen Kanal oder ein Zertifikat gesichert. Ein Signierschlüssel sk
verbleibt als privater Schlüssel des Sicherheitsmoduls am Absendeort
eines ersten Teilnehmers und der Verifizierschlüssel vk ist als öffentlicher
Schlüssel zum Auswerten von digitalen Signaturen sig vorgesehen, die
einer Mitteilung m (= message) zugeordnet sind. Die Mitteilung m und die
Signatur können nun über einen ungesicherten Kanal zum zweiten
Teilnehmer am Bestimmungsort übermittelt werden. Zur Erzeugung einer
Signatur sig durch den Sicherheitsmodul am Absendeort eines ersten
Teilnehmers ist eine mathematische Operation vorgesehen:
sig ← sign (sk, m) (4)
Zur Verringerung der Länge einer Signatur sig wird zunächst auf die
Mitteilung m eine Hash-Funktion angewendet:
h = hash(m) (5)
Zum Signieren am Absendeort eines ersten Teilnehmers kommt ein
privater Signierschlüssel sk des Sicherheitsmoduls und beispielsweise
wieder die sogenannte modulare Arithmetik bzw. Kongruenzrechnung
zum Einsatz:
sig ∼ hsk (mod n) (6)
Zur Verifizierung einer Signatur sig am Bestimmungsort ist ein öffentlicher
Verifizierschlüssel vk, die unverschlüsselte Mitteilung m und eine
mathematische Operation der Art vorgesehen:
acc ← verify (vk, m, sig). (7)
wobei das Ergebnis wahr (gültig) oder falsch (ungültig) sein kann. Vor der
Überprüfung wird auf die Mitteilung m eine Hash-Funktion angewendet:
h = hash(m) (8)
Der zweite Teilnehmer verifiziert am Bestimmungsort mit dem öffentlichen
Verifizierschlüsselungsschlüssel vk die Signatur sig zum Hashwert h',
welcher nach den Gesetzen der modularen Arithmetik mit dem aus der
ursprünglichen Mitteilung m gebildeten Hashwert h übereinstimmt, wenn
h' und sigvk kongruent modulo n sind. Es gilt somit:
h = h' ∼ sigvk (mod n) (9)
Für h ≠ h' gilt die Signatur sig oder Mitteilung m als nicht authentisch,
aber anderenfalls für h = h' als authentisch.
Es ist vorgesehen, dass jeder Kommunikationsteilnehmer mit einem
Sicherheitsmodul bzw. einer Sicherheitsbox ausgestattet wird, welche vor
der Kommunikation, in welcher eine Übermittlung von Mitteilungen erfolgt,
über einen authentischen Kanal öffentliche Schlüssel austauschen. Das
kann vorzugsweise bei Verkäufer oder Händler des Sicherheitsmoduls ge
schehen oder beim Hersteller.
Anhand der in der Fig. 3 gezeigten Darstellung wird der Schlüsseltausch
zwischen einem Sicherheitsmodul und einer Sicherheitsbox näher
erläutert. Zunächst wird jeweils in Beiden ein Schlüsselpaar generiert. Das
Sicherheitsmodul SM generiert einen öffentlichen Verschlüsselungs
schlüssel ekSM und einen privaten Entschlüsselungsschlüssel dkSM. Das
Sicherheitsmodul SM generiert weiterhin einen öffentlichen Verifizier
schlüssel vkSM und einen privaten Signierschlüssel skSM. Die
Sicherheitsbox BOX generiert einen öffentlichen Verschlüsselungs
schlüssel ekBOX und einen privaten Entschlüssefungsschlüssel dkBOX. Die
Sicherheitsbox BOX generiert weiterhin einen öffentlichen Verifizier
schlüssel vkBOX und einen privaten Signierschlüssel skBOX. Die öffentlichen
Schlüssel werden zum jeweiligen Kommunikationsteilnehmer übermittelt.
Von der Sicherheitsbox BOX 200 zum Sicherheitsmodul SM 100 werden
der öffentliche Verschlüsselungsschlüssel ekBOX und der öffentliche
Verifizierschlüssel vkBOX übermittelt und dort gespeichert. Von dem
Sicherheitsmodul SM 100 zur Sicherheitsbox BOX 200 werden der
öffentliche Verschlüsselungsschlüssel ekSM und der öffentliche Verifizier
schlüssel vkSM übermittelt und dort gespeichert.
In der Fig. 4 wird eine Darstellung des Systems für eine kryptigraphisch
gesicherte Kommunikation über einen ungesicherten Kanal gezeigt. Der
Verbrauchszählers 1 ist mit dem EVU-Server 2 via ISDN, DECT-Telefon,
Internet, power line oder ein anderes Netz verbunden. Der Verbrauchs
zähler 1 hat ein Sicherheitsmodul SM 100, welches zur Ver-/Entschlüssel
lung einer Mitteilung m mit einem öffentlichen Verschlüsselungsschlüssel
ekBOX der Sicherheitsbox BOX 200 ausgestattet ist. Nach einem auf den
Gleichungen (2) bzw. (5) basierenden zweiten kryptographischen Algorith
mus wird erst ein Chiffriertext M1 gebildet und auf die Mitteilung m eine
Hash-Funktion angewendet, wobei der Hashwert h1 ← hash(m) entsteht.
Nach einem auf den Gleichungen (4) und (5) basierenden dritten
kryptographischen Algorithmus wird vom Sicherheitsmodul SM 100 eine
Signatur sigSM ← sign[skSM, h1] gebildet. Der Chiffriertext M1 und die
digitale Signatur sigSM werden als Datensatz D1 = M1, sigSM zur
Sicherheitsbox des EVU-Servers 2 übermittelt. Der EVU-Server 2
entschlüsselt mit seinem privaten Entschlüsselungsschlüssel dkBOX den
Chiffriertext M1 zur Mitteilung m1 und überprüft deren Echtheit anhand
der Signatur. Der EVU-Server 2 erzeugt eine Mitteilung m2 übermittelt in
einem Datzensatz D2 die zum Chiffriertext M2 verschlüsselte Mitteilung an
den Sicherheitsmodul. Die Mitteilung m2 kann einen Freischaltcode für
den Verbrauchszähler 1 einschließen. Die Mitteilung m1 enthält Ver
brauchs- und Buchungsdaten bzw. Abgabewerte und Abrechnungswerte,
Zeitdaten u. a. Daten. Sie kann vom EVU-Server weiter ausgewertet wer
den, um eine Abrechnung entsprechend dem gültigen Tarif zu erzeugen.
Der zum Sicherheitsmodul SM 100 übermittelte Datensatz D2 enthält
ebenfalls einen Chiffriertext M2 und die digitale Signatur sigBOX. Mittels der
letzteren wird die Echtheit des Freischaltcodes verifizierbar. Beim Empfan
gen des kryptographisch gesicherten Freischaltcodes in Form eines
zweiten Datesatzes D2 erfolgt eine Aufzeichnung der Änderung durch
Rücksetzen der Abgabegebühr auf Null, wenn der Freischaltcode echt
war. Andernfalls wird der Verbrauchszähler gesperrt.
Die Fig. 5 zeigt eine Darstellung eines Verbrauchszählers, zum Beispiel
eines Strom- bzw. Energiezählers 1. Letzterer ist zwischen ein Stromkabel
8 und ein Hausstromkabel 6 geschaltet und mit einer Anzeigeeinheit 4 für
den Energieverbrauch ausgestattet. Ein Sicherheitsgehäuse 10 des
Strom- bzw. Energiezählers 1 ist mit einem Sicherheitsschloss 9
ausgestattet. Weitere Besonderheiten sind ein Fenster 7 für eine zusätz
liche Statusanzeige des Sicherheitsmoduls (nicht sichtbar) und ein
optionales Kabel 5 für eine Kommunikationsverbindung mit einem EVU-
Server zum Beispiel via ISDN-Telefonnetz.
Die Fig. 6 zeigt ein Blockschaltbild eines Energiezählers 1. Letzterer
könnte einen üblichen Haushaltszähler (Induktionszähler für Einphasen
wechselstrom mit Ferrarismesswerk) ersetzen. Am Sicherheitsmodul
könnte zur Detektion einer Manipulation der Schalter S1 angeschlossen
werden, der beim Öffnen des Sicherheitsgehäuses 10 ebenfalls geöffnet
wird. Die Statusanzeige mittels LED 107, 108 signalisiert ein unbefugtes
Öffnen auch nach dem Wiederschliessen des Sicherheitsgehäuses 10.
Hardwareseitig ist ein Auslöseschalter 52 für das Zurücksetzen ange
schlossen. Er wird z. B. bei Schalten des Sicherheitsschlosses 9 in eine
zweite Schaltstellung ausgelöst. Ein Zurücksetzen des Status des SM 100
ist nur einem beauftragten Inspektor erlaubt, der einen entsprechenden
Schlüssel besitzt und eine Kommunikation mit dem EVU-Server auslöst,
um die Inspektion anzumelden bzw. mitzuteilen. Handelsübliche Mess
wertgeber 104, 105 für Strom- oder Spannungsmessung liefern nach
Vollweggleichrichtung ein analoges Mess-Signal i(t), u(t), welches per DA-
Wandler 102, 103 in ein digitales Signal gewandelt und dann an die
Dateneingänge des Sicherheitsmoduls SM 100 angelegt wird. Die
Momentanwerte derjenigen gleichgerichteten Spannung u(t), die beispiels
weise an einem Lastwiderstand R abfällt oder die sich aufgrund einer
magnetischen Induktion für eine Induktivität L bei einem Laststrom i ergibt
u(t) = L.di/dt, werden unter Verwendung eines Multiplexers vom Mikro
prozessor des SM 100 abgetastet, wenn zwei Dateneingänge wechsel
seitig abgetastet werden müssen. Nach Abtastung der Dateneingänge
und einer digitalen Multiplikation der Mess-Signale u(t).i(t) erfolgt eine
Aufsummierung für eine jede halbe Periode T/2 des Einphasen
wechselstromes. Durch diese Momentanwertmultiplikation und zusammen
mit einer kumulativen Abspeicherung der Summen der Beträge ergibt sich
die wirksame Leistung P im Zeitbereich Δt = x.T. Die jeweiligen
Momentanwerte werden in einem nichtflüchtigen Speicher addiert und das
abgespeicherte Ergebnis oder ein Momentanwert können angezeigt wer
den. Entsprechende Datenausgänge des Sicherheitsmoduls SM 100 sind
für die Anzeigeeinheit 4 vorgesehen. Es sei t1 der Beginn und t2 das
Ende des Zeitbereiches Δt1 = t2 - t1, der eine Vielzahl x von Perioden T
einschließt, wobei ein erster Tarif für die Abrechnung einer Abgabegebühr
F1 gültig ist. Weiterhin sei t3 der Beginn und t4 das Ende eines zweiten
Zeitbereiches Δt2 = t4 - t3, der ebenfalls eine Vielzahl x von Perioden T
einschließt, wobei ein zweiter Tarif für die Abrechnung einer Abgabe
gebühr F2 gültig ist. Bei einem Ereignis, wie Tarif- oder Lastwechsel,
erfolgt durch den Mikroprozessor eine Berechnung der Abgabegebühr
nach dem zugehörigen Tarif entsprechend der Verbrauchszeitdauer und
eine Speicherung in separaten Speicherbereichen der nichtflüchtigen
Speicher zusammen mit dem jeweils zugehörigen aktuellen Verbrauchs
wert VK. Eine weitere Abspeicherung von Nutzdaten kann erfolgen, um
das Benutzerverhalten zu ermitteln bzw. um Marketingdaten abzuleiten.
Vom Sicherheitsmodul wird ein Ereignis VK zum Zeitpunkt tj festgestellt,
welches mindestens als Echtzeitnachricht aufgezeichnet werden muß.
Hinzukommen weitere Daten, beispielsweise eine tarifabhängige Abgabe
gebühr. Solche Datenelemente sind zum Beispiel:
#K: Sequenzzähler ("13"),
R: Typbezeichner der Nachricht ("R" für Realtime),
V1K: Verbrauchs- und Nutzdaten ("Tages-Verbrauch, Mr. Pauschinger"),
F1K: Abgabegebühr nach erstem Tarif ("Tages-Verbrauchsgebühr"),
V2K: Verbrauchs- und Nutzdaten ("Nacht-Verbrauch, Mr. Pauschinger"),
F2K: Abgabegebühr nach zweitem Tarif ("Nacht-Verbrauchsgebühr"),
tj: aktueller Echtzeitwert (dezimalisiert: "8491028108032001") mit fester Länge,
AK: Authentisierungscode (dezimalisiert: "8023024892048398"), i. e. Unterschrift, typischerweise mit fester Länge,
#K: Sequenzzähler ("13"),
R: Typbezeichner der Nachricht ("R" für Realtime),
V1K: Verbrauchs- und Nutzdaten ("Tages-Verbrauch, Mr. Pauschinger"),
F1K: Abgabegebühr nach erstem Tarif ("Tages-Verbrauchsgebühr"),
V2K: Verbrauchs- und Nutzdaten ("Nacht-Verbrauch, Mr. Pauschinger"),
F2K: Abgabegebühr nach zweitem Tarif ("Nacht-Verbrauchsgebühr"),
tj: aktueller Echtzeitwert (dezimalisiert: "8491028108032001") mit fester Länge,
AK: Authentisierungscode (dezimalisiert: "8023024892048398"), i. e. Unterschrift, typischerweise mit fester Länge,
Im ersten Schritt vor der ersten kryptographischen Operation erfolgt eine
Zusammenstellung einer "Real-time"-Nachricht V1K, F1K, V2K, F2K, tj mit
weiteren Daten #K, R, zum Bilden eines Datensatzes:
INPUT = #K, R, V1K, F1K, V2K, F2K, tj (10)
zum Beispiel sei #K = 13 für eine 13. Aufzeichnung:
INPUT = "13RTages-Verbrauch,Mr.PauschingerTages-Verbrauchsgebühr Nacht-Verbrauch,Mr.PauschingerNacht-Verbrauchsgebühr 8491028108032001
INPUT = "13RTages-Verbrauch,Mr.PauschingerTages-Verbrauchsgebühr Nacht-Verbrauch,Mr.PauschingerNacht-Verbrauchsgebühr 8491028108032001
Im zweiten Schritt erfolgt aus INPUT durch Bildung des Hashwertes eine
Berechnung des Authentisierungscodes AK.
AK ← hash(INPUT) (11)
Zum Beispiel:
AK = "8023024892048398".
Im dritten Schritt erfolgt ein Anfügen des resultierenden Authenti
sierungscodes AK an die Echtzeitnachricht. Zum Zeitpunkt tj lautet die
Mitteilung m1 mit der zu speichenden Nachricht also:
m1 = #K, R, V1K, F1K, V2K, F2K, tj, AK mit K = 13 (12)
Ein Aufzeichnen umfaßt ein Speichern von Echtzeit- und Gebührendaten.
Periodisch erfolgt ein Übertragen eines Datensatzes D1 vom Sicherheits
modul am Absendeort zu einer Sicherheitsbox eines EVU-Servers am
Bestimmungsort.
Zur Vorbereitung der Erzeugung einer digitalen Signatur wird die
Mitteilung m1 gehasht:
h1 ← hash(m1) (13)
In dem Sicherheitsmodul 100 liegen ein öffentlicher Verschlüsselungs
schlüssel ekBOX der Box und ein privater Signierschlüssel skSM des
Sicherheitsmoduls 100 nichtflüchtig eingespeichert vor. Durch ein im
internen Programmspeicher gespeichertes Programm ist der Mikropro
zessor des Sicherheitsmoduls 100 programmiert, als Authentifikations
maschine zu arbeiten. Die digitalen Signatur wird mit dem Signier
schlüssel skSM des Sicherheitsmoduls SM 100 gebildet:
sigSM ← sign[skSM, h1] (14)
Zur Vorbereitung der Übermittelung der Nachricht an den Server 2
verschlüsselt der Mikroprozessor des Sicherheitsmoduls SM 100 die
Mitteilung m1 mit dem Verschlüsselungschlüssel ekBOX der Sicherheitsbox
zum Chiffriertext M1:
M1 ← encrypt[ekBOX, m1] (15)
Der zu übermittelnde Datensatz D1 lautet:
D1 = M1, sigSM (16)
Jeder Verbrauchszähler 1 enthält eine Kommunikationseinheit 101 für
eine Kommunikation mit dem Server 2, der eine vergleichbare Kommuni
kationseinheit (nicht gezeigt) aufweist. In der Sicherheitsbox 200 des Ser
vers 2 liegen ein privater Entschlüsselungsschlüssel dkBOX der Box und
ein öffentlicher Verifizierschlüssel vkSM des Sicherheitsmoduls 100 nicht
flüchtig eingespeichert vor. Durch ein im internen Programmspeicher
gespeichertes Programm ist der Mikroprozessor der Sicherheitsbox 200
programmiert, als Verifikationsmaschine zu arbeiten. Der Server 2 arbeitet
angepaßt an die jeweilige Art und Weise der Erzeugung der Aufzeich
nung. Wonach der durch den Server 2 aus dem Sicherheitsmodul 100
abgerufene Aufzeichnungsstrom analysiert wird, hängt von der ent
sprechenden Anwendung ab.
Die Fig. 5 und 6 zeigen ein am Verbrauchszähler 1 angeschlossenes
ISDN-Kabel 5. Es ist für ein Ausführungsbeispiel vorgesehen, dass die
Kommunikationseinrichtung 101 ein Modem vorzugsweise ein ISDN-
Modul ist, welches über ein Telefon-/ISDN-Netz mit dem Server 2
kommunikativ verbunden ist. Bei Kommunikation des Verbrauchszählers 1
mit dem EVU-Server 2 direkt via ISDN-Netz kann eine entsprechende
Kommunikationseinheit 101 aus dem Telefon-/ISDN-Netz oder über eine
Leitung 106 vom Netzteil oder vom Hausstromkabel 6 mit Energie
versorgt werden.
Alternativ ist es möglich, einen vorhandenen Digital-Powerline-Dienst des
Enegieversorgungsunternehmens (EVU) zu nutzen. Die Kommunikations
einrichtung 101 ist nun ein Power-line-Modul, der über ein Enegierversor
gungsnetz mit dem Server 2 kommunikativ verbunden ist. Der Power-line-
Modul ist entsprechend ausgebildet eine Nachricht mit Übertragungsraten
bis zu 1 Mbit/s über eine Leitung 106 via Stromkabel 8 zum EVU-Server 2
zu übertragen. Dabei werden die vorhandenen Stromversorgungskabel
als physikalisches Trägermedium für ein Kommunikationsnetzwerk ge
nutzt. Dabei entfällt natürlich das o. g. ISDN-Kabel 5.
Eine weitere Alternative zur Vermeidung von Kabelverbindungen bietet ein
2,4 GHz Bluetooth-Funkempfänger/Sender-Baustein, der als Kommunika
tionseinrichtung 101 eingesetzt wird. Es ist vorgesehen, dass die Kommu
nikationseinrichtung 101 im Sicherheitsmodul 100 integriert ist. Ein Blue-
Tooth-Modul, der drahlos über einen weiteren Blue-Tooth-Modul mit dem
Server 2 kommunikativ verbunden werden soll, kann aber nur über relativ
kurze Entfernungen ca. 10 m mit einem gleichen Bluetooth-Baustein
kommunizieren, so dass letzterer doch wieder an ein ISDN-Endgerät
angeschlossen ist. Somit ist der weitere Blue-Tooth-Modul wieder über ein
Telefonnetz mit dem Server 2 kommunikativ verbunden. Zum Beispiel wird
wieder das ISDN-Netz genutzt.
Das Sicherheitsmodul SM 100 kann über das Hausstromkabel 6 oder das
Stromkabel 8 aus dem Energienetz mit Energie versorgt werden. Dazu ist
ein Netzteil N 109 erforderlich, welches vorzugsweise so angeschlossen
ist, daß der Stromkunde die Kosten trägt. Der Masseanschluß an Pin P23
erhält zum Beispiel das negative und der Betriebsspannungsanschluß an
Pin P25 das positive Spannungspotential. Ein Elektrolytkondensator C
puffert die Betriebsspannung. An den Anschlüssen P1, P2 liegt eine
Leiterschleife, die sich über das gesamte Sicherheitsgehäuse erstreckt
und beim Zerstören des Sicherheitsgehäuses 10 unterbrochen wird. Es ist
vorgesehen, dass der Verbrauchszähler 1 ein Sicherheitsgehäuse 10
aufweist, welches den Sicherheitsmodul 100, eine Anzeigeeinheit 4 eine
Zuführ- und Abgabeeinrichtung 8, 6 und eine Kommunikationseinrichtung
101 umschließt. Der Sicherheitsmodul 100 ist mit mindestens einem
Meßwertgeber 104, 105, mit der Anzeigeeinheit 4 zur Anzeige eines
Verbrauchswertes sowie mit Sicherheitsmitteln S1, S2, 18 verbunden. Der
Sicherheitsmodul 100 weist einen nichtflüchtigen Speicher 124, 129 zur
Speicherung temporär gültiger Tarife auf und ist programmiert, eine
Abgabegebühr basierend auf dem Verbrauchswert tarifabhängig zu
berechnen und auf ein Ansprechen der Sicherheitsmittel S1, S2, 18 sowie
auf Werte der Meßwertgeber 104, 105 zu reagieren, welche eine
Manipulation in Fälschungsabsicht signalisieren. Das Sicherheitsmodul
enthält intern eine Lithium-Batterie 134 zur Datenerhaltung der nicht
flüchtig gespeicherten Daten, um eine Notversorgung bei Energieausfall
zu ermöglichen. Bei den nichtflüchtig gespeicherten Daten wird zusätzlich
zur kumulierten Leistung auch die Zeit gespeichert, so daß eine Abtren
nung vom Energieversorgungsnetz nachträglich unterschieden werden
kann vom Spannungsausfall im Energieversorgungsnetz. Das Sicherheits
modul SM 100 schaltet bei fehlender Systemspannung einfach auf
Notversorgung via Batterie 134 um.
Der Sicherheitsmodul 100 nimmt die Funktion eines Spannungswächters
wahr, um zu überprüfen, ob der Zähler abgeklemmt wurde oder nicht. Der
Verbrauchszähler 1 hat mindestens einen Analog/Digital-Wandler 102,
103, der mit dem mindestens einen Meßwertgeber 104, 105 verbunden
ist. Alternativ hat der Sicherheitsmodul 100 einen Analog/Digital-Wandler
127 integriert, der mit den Meßwertgebern 104, 105 verbunden ist. Der
Sicherheitsmodul 100 weist einen Echtzeitzähler 122 auf und der
Sicherheitsmodul 100 nimmt die Funktion eines Watch dog Timers wahr,
um regelmäßig Zählerstände an einen Server 2 zu übermitteln. Dadurch
dass das Sicherheitsmodul 100 einen Echtzeitzähler 122 aufweist, kann
der Mikroprozessor des Sicherheitsmoduls 100 auf den temporär gültigen
Tarif zugreifen, der im nichtflüchtigen Speicher gespeichert ist. Der
Mikroprozessor des Sicherheitsmoduls 100 ist programmiert, eine
Abgabegebühr basierend auf dem Verbrauchswert tarifabhängig zu
berechnen.
Die Fig. 7 zeigt ein Blockschaltbild eines verbesserten Sicherheits
moduls SM 100. Beim unberechtigten Öffen des Sicherheitsgehäuses und
/oder entfernen des Sicherheitsmoduls 100 wird der Schalter S1 betätigt
und eine Detektionseinheit 13 speichert das Ereignis nichtflüchtig. Bei
einer Beschädigung des Sicherheitsgehäuses 10, beispielsweise durch
Bohren in das Sicherheitsgehäuse, wird eine an die Pins P1 und P2
angeschlossenen Leiterschleife 18 geöffnet, über welche im geschlos
senen Zustand zeitlich zuordenbare Impulse übermittelt werden. Der
Mikroprozessor empfängt die gesendeten Impulse zwecks Auswertung
der Detektionsdaten hinsichtlich einer Beschädigung bzw. Manipulation
am Sicherheitsgehäuse 10. Ein ordnungsgemäßes Öffnen/Schließen des
Sicherheitsgehäuses 10 wird mittels Auslöseschalter S2 detektiert. Die
Schalter S1, S2 und die Leiterschleife 18 liegen an Ein/Ausgängen eines
Ein/Ausgangsinterfaces 125 des Mikroprozessors 120.
Als geeigneter Mikroprozessor µP 120 eignet sich der Typ S3C44A0X von
Firma Samsung vor. Letzterer weist zusätzlich Analogeingänge für
Analogwerte u(t), i(t), einen internen Multiplexer (nicht gezeigt) und einen
internen AD-Wandler 127 auf, so dass separate AD-Wandler entfallen
können. An den Analogeingängen werden 4 Leitungen für die Analog
werte u(t), i(t) angeschlossen. Außerdem wird mittels integriertem LCD-
Controller (nicht gezeigt) eine am Ein/Ausgangsinterface 125 angeschlos
sene externe LCD-Anzeige 4 unterstützt. Am Ein-/Ausgangsinterface 125
sind externe Leuchtdioden 107, 108 zur Zustandsanzeige angeschlossen.
Der Status des Sicherheitsmoduls 100 kann vorteilhaft über eine Bicolor-
Leuchtdiode anstelle der Leuchtdioden 107, 108 signalisiert werden. Eine
Statusmeldung kann weitere Datenelemente umfassen, zum Beispiel:
- - Detektionsdaten einer Manipulation am Gehäuse,
- - Detektionsdaten einer Manipulation am Sicherheitsmodul,
- - Versionsnummer und Gültigkeitsdatum der Tarife,
- - Spitzenlast und Uhrzeit der Spitzenbelastung,
- - Nächster Kommunikationstermin usw.
Mit den 60-bit general purpose I/O ports stehen genügend Ein/Ausgänge
am Mikroprozessor 120 zur Verfügung, um eine Kommunikationseinheit
101 und weitere E/A-Mittel direkt anzuschliessen. Vorteilhaft wird jedoch
eine Anpassungslogig in Form des ASIC 150 und der programmierbaren
Logik 160 zwischen Mikroprozessor 120 und Kommunikationseinheit 101
geschaltet. Die Kommunikationseinheit 101 kann in das Sicherheitsmodul
SM 100 integriert und ggf. als ASIC ausgeführt werden. Hierzu eignet sich
die moderne digitale Kommunikationtechnik, zum Beispiel ein Bluetooth-
Modul. Letzterer gibt eine Sendeleistungen von ca. 1 mW über eine kurze
Antenne 51 ab. Die integrierte Echtzeituhr (Real Time Counter) 122 des
Mikroprozessors 120 übernimmt neben den oben beschriebenen Sicher
heitsfunktionen auch die Taktung der Kommunikation. Die Sicherheits
module 100 der Verbrauchszähler unterschiedlicher Kunden können an
unterschiedlichen Tagen zur Kommunikation programmiert sein, so dass
nicht alle gleichzeitig beim Server anrufen.
Der EVU-Server 2 übermittelt ggf. neue aktuelle Tarife, einschließlich
Versionsnummer und Gültigkeitsdatum der Tarife, zwecks Speicherung im
Sicherheitsmodul. Der Mikroprozessor hat hierzu ein internes RAM 124,
welches batteriegestützt ist. Wenn letzteres nicht ausreicht, wird ein wei
teres batteriegestütztes SRAM 129 in den Sicherheitsmodul integriert und
arbeitet zusätzlich zum RAM 124 des Mikroprozessors 120, zwecks nicht
flüchtiger Speicherung von Tarifwerten, die in vorbestimmten Zeitberei
chen gültig sind. Die integrierte Echtzeituhr 122 liefert Echtzeitdaten. Der
Mikroprozessor 120 übernimmt die Auswertung von Zeitdaten zur tarifab
hängigen Ermittlung mindestens eines Verbrauchswertes. Bei vorbe
stimmten Ereignissen greift eine CPU 121 des Mikroprozessors 120 auf
den temporär gültigen Tarif im SRAM 129 zu, wobei letzteres die Daten
für die Abgabegebühr einer als ASIC 150 ausgebildeten Datenverarbeit
ungseinheit übergibt. Die Abrechnung erfolgt via ASIC 150 in den nicht
flüchtigen Speichern NVRAM 114, 116. Für beide NVRAMs werden aus
Sicherheitsgründen zwei unterschiedliche Speichertechnologien einge
setzt. In ereignis- und zeitbestimmten Zeitabständen erfolgt zur Abrech
nung eine Bildung einer Nachricht, welche den Verbrauchswert, die Ab
gabegebühr und die Zeitdaten einschließt, eine Bildung eines Über
prüfungscodes und Sichern der Nachricht mittels des Überprüfungscodes.
Der Überpüfungscode wird von der CPU des Mikroprozessors 120 berech
net. Der ASIV 150 nimmt eine Bildung und Aufzeichnung einer Mitteilung
m1 vor, welche die Nachricht und den Überprüfungscode enthält. In einer
andereren Variante können Aufgaben des ASIC's vom Mikroprozessor
120 übernommen werden. Es ist vorgesehen, dass die Sicherung der
Aufzeichnung des Verbrauchs vorzugsweise am Ende jedes Zeitabschnit
tes der Verbrauchszeitdauer erfolgt, wobei die Zeitabschnitte periodisch
und/oder ereignisbasierend gebildet werden. Ein Eeignis ist beispielswei
se ein Tarif- oder Lastwechsel.
In größeren Zeitabständen führt der Mikroprozessor 120 eine kryptogra
phisch Sicherung einer Nachricht und eine Kommunikation mit einem
entfernten Server 2 durch, zur Übermittlung der kryptographisch gesicher
ten Nachricht in Form eines ersten Datensatzes D1. Die Sicherheitsbox
200 des Servers 2 verrifiziert und entschlüsselt die Nachricht. Nur wenn
eine Verifizierung die Echtheit der Nachricht ergibt, wird vom Server 2 ein
Freischaltcode erzeugt. Die Sicherheitsbox 200 des Servers 2 kann den
Freischaltcode durch Verschlüsseln und Signieren sichern. Der Sicher
heitsmodul 100 des Verbrauchszählers 1 kann die Echtheit des Freischalt
codes anhand der Signatur des Servers 2 verifizieren. Es ist vorgesehen,
dass beim Empfangen des kryptographisch gesicherten Freischaltcodes
eine Aufzeichnung der Änderung der Abgabegebühr durch Rücksetzen
auf Null erfolgt, wenn der Freischaltcode echt war sowie dass Sperren der
Abgabe einer verbuchbaren Größe bzw. des Verbrauches eines Ver
brauchswertes vorgenommen wird, wenn der Freischaltcode unecht ist.
Ein Verbrauch an festen, flüssigen oder gasförmigen Größen erfordert
speziell angepaßte Zähler, die in erfindungsgemäßer Weise ebenfalls mit
dem Sicherheitsmodul ausgestattet werden. In einem weiteren Einsatzfall
ist der Verbrauchszähler eine Frankiermaschine. Die verbuchbare Größe
ist dann der Frankierwert. Weitere Ausführungen zu weiteren Baugruppen
des Sicherheitsmoduls sind den Veröffentlichungen EP 1.035.513 A2, EP 1.035.516 A2,
EP 1.035.517 A2, EP 1.035.518 A2, DE 200 20 635 U1 zu
entnehmen. Die Auswertung der Überwachungsfunktionen und krypto
graphischen Berechnungen erfolgen im Mikroprozessor. Der erste krypto
graphische Algorithmus für die Erzeugung des Authentisierungscodes für
Aufzeichnungsdaten ist beispielsweise eine Hashfunktion. Natürlich kann
anstelle des Authentisierungscodes auch eine Checksumme oder ein
nach einem symmetrischen Verschlüsselungsalgorithmus gebildeter MAC
eingesetzt werden. Natürlich kann auch die Abrechnungsfunktion des
ASIC's 150 vom Mikroprozessor 120 übernommen oder überprüft werden.
Die Erfindung ist nicht auf die vorliegenden Ausführungsform beschränkt,
da offensichtlich weitere andere Anordnungen bzw. Ausführungen der
Erfindung entwickelt bzw. eingesetzt werden können, die - vom gleichen
Grundgedanken der Erfindung ausgehend - von den anliegenden
Schutzansprüchen umfaßt werden.
Claims (20)
1. Verfahren zur Aufzeichnung eines Verbrauchswertes, der in Aus
wertung von Meßwerten ermittelt wird, umfassend die Schritte:
- - nichtflüchtige Speicherung von Tarifwerten, die in vorbestimmten Zeit bereichen gültig sind,
- - Analog/Digital-Wandlung der Meßwerte und deren Verarbeitung nach einem ersten mathematischen Algorithmus,
- - Liefern und Auswerten von Zeitdaten zur zeitabhängigen Ermittlung mindestens eines Verbrauchswertes,
- - tarifabhängige Ermittlung mindestens einer Abgabegebühr entspre chend des vorgenannten Verbrauchswertes,
- - Bildung einer Nachricht, welche mindestens die Abgabegebühr ein schließt,
- - Bildung eines Überprüfungscodes und Sichern der Nachricht mittels des Überprüfungscodes,
- - Bildung und Aufzeichnung einer Mitteilung (m1), welche die Nachricht und den Überprüfungscode enthält,
- - Aufnahme einer Kommunikation mit einem entfernten Server (2), zur Übermittlung der kryptographisch gesicherten Nachricht in Form eines ersten Datensatzes (D1).
2. Verfahren, nach Anspruch 1, gekennzeichnet durch
Wiederholung der Aufnahme einer Kommunikation mit einem entfernten
Server 2, zur Übermittlung der kryptographisch gesicherten Nachricht in
Form eines ersten Datensatzes D1, und bei erfolgloser Wiederholung
solange, bis ein Kreditrahmen überschritten ist, sowie Empfangen eines,
nach dem Überprüfen der Echtheit des ersten Datensatzes (D1) vom
Server übermittelten, kryptographisch gesicherten Freischaltcodes in
Form eines zweiten Datensatzes (D2), Überprüfen der Echtheit des
Freischaltcodes anhand der Signatur des Servers (2) und Aufzeichnung
des Ereignisses.
3. Verfahren, nach Anspruch 1, dadurch gekennzeichnet, dass die
gebildete Nachricht den Verbrauchswert, die Abgabegebühr und Zeitdaten
einschließt, dass die Sicherung der Nachricht und die Aufzeichnung des
Verbrauchs vorzugsweise am Ende jedes Zeitabschnittes der Verbrauchs
zeitdauer erfolgt, wobei die Zeitabschnitte periodisch und/oder ereignis
basierend gebildet werden.
4. Verfahren, nach Anspruch 2, dadurch gekennzeichnet, dass
beim Empfangen des kryptographisch gesicherten Freischaltcodes eine
Aufzeichnung der Änderung der Abgabegebühr durch Rücksetzen auf Null
erfolgt, wenn der Freischaltcode echt war sowie dass ein Sperren der
Abgabe einer verbuchbaren Größe bzw. des Verbrauches eines Ver
brauchswertes vorgenommen wird, wenn der Freischaltcode unecht ist.
5. Verfahren, nach Anspruch 1, dadurch gekennzeichnet, dass bei
einem Ereignis eine Berechnung der Abgabegebühr nach dem
zugehörigen Tarif entsprechend der Verbrauchszeitdauer und bei einer
Aufzeichnung eine Speicherung der Abgabegebühr zusammen mit dem
jeweils zugehörigen aktuellen Verbrauchswert VK erfolgt.
6. Verfahren, nach Anspruch 5, dadurch gekennzeichnet, dass
das Ereignis ein Tarif- oder Lastwechsel ist.
7. Verfahren, nach Anspruch 3, dadurch gekennzeichnet, dass bei
der Aufzeichnung eine weitere Abspeicherung von Nutzdaten erfolgt, um
das Benutzerverhalten zu ermitteln bzw. um Marketingdaten abzuleiten.
8. Verfahren, nach Anspruch 1, dadurch gekennzeichnet, dass
der Überprüfungscode ein Authentisierungscode ist.
9. Verfahren, nach Anspruch 8, dadurch gekennzeichnet, dass
der Authentisierungscode ein Hashcode oder ein nach einem symmetri
schen Verschlüsselungsalgorithmus gebildeter MAC ist.
10. Verbrauchszähler, mit einem Meßwertgeber, dadurch gekenn
zeichnet, dass der Verbrauchszähler (1) ein Sicherheitsgehäuse (10)
aufweist, welches einen Sicherheitsmodul (100), eine Zuführ- und
Abgabeeinrichtung (8, 6) und eine Kommunikationseinrichtung (101)
umschließt, wobei der Sicherheitsmodul (100) mit mindestens einem
Meßwertgeber (104, 105) sowie mit Sicherheitsmitteln (S1, S2, 18)
verbunden ist, dass der Sicherheitsmodul (100) einen nichtflüchtigen
Speicher (124, 129) zur Speicherung temporär gültiger Tarife aufweist und
programmiert ist, eine Abgabegebühr basierend auf dem Verbrauchswert
tarifabhängig zu berechnen und auf ein Ansprechen der Sicherheitsmittel
(S1, S2, 18) sowie auf Werte der Meßwertgeber (104, 105) zu reagieren,
welche eine Manipulation in Fälschungsabsicht signalisieren.
11. Verbrauchszähler, nach Anspruch 10, dadurch gekennzeich
net, dass der Verbrauchszähler (1) mindestens einen Analog/Digital-
Wandler (102, 103) aufweist, der mit dem mindestens einen Meß
wertgeber (104, 105) verbunden ist und dass der Sicherheitsmodul (100)
eine Überwachungsfunktion aufweist, um zu überprüfen, ob der Zähler
abgeklemmt wurde oder nicht.
12. Verbrauchszähler, nach Anspruch 10, dadurch gekennzeich
net, dass das Sicherheitsmodul (100) einen Analog/Digital-Wandler
(127) aufweist, der mit den Meßwertgebern (104, 105) verbunden ist und
dass der Sicherheitsmodul (100) eine Überwachungsfunktion aufweist, um
zu überprüfen, ob der Zähler abgeklemmt wurde oder nicht.
13. Verbrauchszähler, nach Anspruch 10, dadurch gekennzeich
net, dass das Sicherheitsmodul (100) einen Echtzeitzähler (122)
aufweist und dass der Sicherheitsmodul (100) die Funktion eines Watch
dog Timers aufweist, um regelmäßig Zählerstände an einen Server (2) zu
übermitteln.
14. Verbrauchszähler, nach Anspruch 10, dadurch gekennzeich
net, dass das Sicherheitsmodul (100) einen Echtzeitzähler (122)
aufweist und dass ein Mikroprozessor (120) des Sicherheitsmoduls (100)
auf den temporär gültigen Tarif zugreift, der im nichtflüchtigen Speicher
(124, 129) gespeichert ist und programmiert ist, eine Abgabegebühr
basierend auf dem Verbrauchswert tarifabhängig zu berechnen.
15. Verbrauchszähler, nach Anspruch 10, dadurch gekennzeich
net, dass die Kommunikationseinrichtung (101) ein ISDN-Modul ist, der
über ein Telefonnetz mit dem Server (2) kommunikativ verbunden ist.
16. Verbrauchszähler, nach Anspruch 10, dadurch gekennzeich
net, dass die Kommunikationseinrichtung (101) ein Power-line-Modul ist,
der über ein Enegierversorgungsnetz mit dem Server (2) kommunikativ
verbunden ist.
17. Verbrauchszähler, nach Anspruch 10, dadurch gekennzeich
net, dass die Kommunikationseinrichtung (101) ein Blue-Tooth-Modul
ist, der drahlos über einen weiteren Blue-Tooth-Modul mit dem Server (2)
kommunikativ verbunden ist.
18. Verbrauchszähler, nach Anspruch 17, dadurch gekennzeich
net, dass der Blue-Tooth-Modul drahlos mit einem weiteren Blue-Tooth-
Modul verbunden ist, wobei letzterer über ein Telefonnetz mit dem Server
(2) kommunikativ verbunden ist.
19. Verbrauchszähler, nach Anspruch 10, dadurch gekennzeich
net, dass die Kommunikationseinrichtung (101) im Sicherheitsmodul
(100) integriert ist.
20. Verbrauchszähler, nach den Ansprüchen 10 bis 19, dadurch ge
kennzeichnet, dass der Verbrauchszähler (1) eine
Frankiermaschine ist.
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE10116703A DE10116703A1 (de) | 2001-03-29 | 2001-03-29 | Verfahren zur Aufzeichnung eines Verbrauchswertes und Verbrauchszähler mit einem Meßwertgeber |
EP02090093A EP1246135A3 (de) | 2001-03-29 | 2002-03-01 | Verfahren zur Aufzeichnung eines Verbrauchswertes und Verbrauchszähler mit einem Messwert |
US10/090,997 US20020184157A1 (en) | 2001-03-29 | 2002-03-05 | Method and apparatus for registering a usage value of commodity |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE10116703A DE10116703A1 (de) | 2001-03-29 | 2001-03-29 | Verfahren zur Aufzeichnung eines Verbrauchswertes und Verbrauchszähler mit einem Meßwertgeber |
Publications (1)
Publication Number | Publication Date |
---|---|
DE10116703A1 true DE10116703A1 (de) | 2002-10-10 |
Family
ID=7680305
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE10116703A Ceased DE10116703A1 (de) | 2001-03-29 | 2001-03-29 | Verfahren zur Aufzeichnung eines Verbrauchswertes und Verbrauchszähler mit einem Meßwertgeber |
Country Status (3)
Country | Link |
---|---|
US (1) | US20020184157A1 (de) |
EP (1) | EP1246135A3 (de) |
DE (1) | DE10116703A1 (de) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102009049434A1 (de) * | 2009-10-14 | 2011-04-21 | ITF Fröschl GmbH | Messwertgeber sowie System |
DE102012203034A1 (de) * | 2012-02-28 | 2013-08-29 | Bundesdruckerei Gmbh | Verfahren zur Personalisierung einer Smart Meter Vorrichtung mit einem Sicherheitsmodul |
DE102012203518A1 (de) * | 2012-03-06 | 2013-09-12 | Bundesdruckerei Gmbh | Verfahren zur Kommunikation von energieverbrauchsspezifischen Messdatenelementen von einer Smart Meter Vorrichtung an ein Computersystem eines Energieversorgers und/oder Messstellenbetreibers |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7590848B2 (en) * | 2002-02-07 | 2009-09-15 | Blackhawk Network | System and method for authentication and fail-safe transmission of safety messages |
GB2481579B (en) | 2010-06-25 | 2014-11-26 | Enmodus Ltd | Monitoring of power-consumption |
US10044402B2 (en) | 2010-06-25 | 2018-08-07 | Enmodus Limited | Timing synchronization for wired communications |
GB2485136B (en) * | 2010-09-24 | 2015-03-18 | Sse Plc | Data transmission method and system |
CH713130B1 (de) * | 2016-11-24 | 2021-03-15 | Landis & Gyr Ag | Schaltvorrichtung und Gerät für Verbrauchsmessungen mit einer solchen Schaltvorrichtung. |
CN108802463A (zh) * | 2018-04-18 | 2018-11-13 | 怀化建南电子科技有限公司 | 一种用于远程充电装置的直流电能表 |
Citations (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US3962539A (en) * | 1975-02-24 | 1976-06-08 | International Business Machines Corporation | Product block cipher system for data security |
US4200770A (en) * | 1977-09-06 | 1980-04-29 | Stanford University | Cryptographic apparatus and method |
DE3123530A1 (de) * | 1981-06-13 | 1982-12-30 | Karl Dipl.-Phys. 4600 Dortmund Winter | "verfahren und vorrichtung zur herstellung und verdichtung eines inertgases" |
US4405829A (en) * | 1977-12-14 | 1983-09-20 | Massachusetts Institute Of Technology | Cryptographic communications system and method |
DE3640448A1 (de) * | 1985-11-27 | 1987-07-09 | Triad Communications Inc | Verbrauchszaehler |
US4689478A (en) * | 1984-12-24 | 1987-08-25 | Ncr Corporation | System for handling transactions including a portable personal terminal |
US4812965A (en) * | 1985-08-06 | 1989-03-14 | Pitney Bowes Inc. | Remote postage meter insepction system |
US4995085A (en) * | 1987-10-15 | 1991-02-19 | Siemens Aktiengesellschaft | Hearing aid adaptable for telephone listening |
US5231668A (en) * | 1991-07-26 | 1993-07-27 | The United States Of America, As Represented By The Secretary Of Commerce | Digital signature algorithm |
US5243654A (en) * | 1991-03-18 | 1993-09-07 | Pitney Bowes Inc. | Metering system with remotely resettable time lockout |
DE3703387C2 (de) * | 1986-02-06 | 1993-09-23 | Minol Messtechnik W. Lehmann Gmbh & Co, 70771 Leinfelden-Echterdingen, De | |
DE4409803A1 (de) * | 1993-03-22 | 1994-09-29 | Kundo Systemtechnik Gmbh | Anlage zur zentralen Erfassung von Energieverbrauchskosten |
DE4243092C2 (de) * | 1992-12-18 | 1996-03-14 | Ludwig Kreuzpaintner | Stromverteilersystem |
EP0884569A1 (de) * | 1997-06-13 | 1998-12-16 | Bernina Electronic AG | Verfahren und Gerätschaft zur Verbrauchsermittlung |
DE19754675A1 (de) * | 1997-12-10 | 1999-07-01 | Klaus Dipl Ing Weber | Einrichtung zum kundenseitigen Erfassen und Abrechnen des Haushaltsverbrauchs von Versorgungsgütern |
US5953426A (en) * | 1997-02-11 | 1999-09-14 | Francotyp-Postalia Ag & Co. | Method and arrangement for generating and checking a security imprint |
US6041704A (en) * | 1997-10-29 | 2000-03-28 | Francotyp-Postalia Ag & Co. | Method for operating a digitally printing postage meter to generate and check a security imprint |
EP1035513A2 (de) * | 1999-03-12 | 2000-09-13 | Francotyp-Postalia Aktiengesellschaft & Co. | Sicherheitsmodul mit Statussignalisierung |
EP1035517A2 (de) * | 1999-03-12 | 2000-09-13 | Francotyp-Postalia Aktiengesellschaft & Co. | Verfahren zum Schutz eines Sicherheitsmoduls und Anordnung zur Durchführung des Verfahrens |
EP1035516A2 (de) * | 1999-03-12 | 2000-09-13 | Francotyp-Postalia AG & Co. | Anordnung für ein Sicherheitsmodul |
EP1035518A2 (de) * | 1999-03-12 | 2000-09-13 | Francotyp-Postalia Aktiengesellschaft & Co. | Verfahren zum Schutz eines Sicherheitsmoduls und Anordnung zur Durchführung des Verfahrens |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB9210857D0 (en) * | 1992-05-21 | 1992-07-08 | Siemens Measurement Limited | Improvements in or relating to commodity supply meters |
GB2313201A (en) * | 1996-05-15 | 1997-11-19 | Gen Electric Co Plc | Isolation bypass detector for a commodity supply line |
US6453327B1 (en) * | 1996-06-10 | 2002-09-17 | Sun Microsystems, Inc. | Method and apparatus for identifying and discarding junk electronic mail |
GB2341934B (en) * | 1997-06-03 | 2001-07-18 | Total Metering Ltd | Improvements relating to metering systems |
EP0960394B1 (de) * | 1997-06-13 | 2006-11-08 | Pitney Bowes Inc. | System und verfahren zum steuern einer zum drucken erforderlichen daten verwendeten frankierung |
US6019281A (en) * | 1997-12-22 | 2000-02-01 | Micro General Corp. | Postal security device with display |
US6133850A (en) * | 1998-03-16 | 2000-10-17 | Motorola, Inc. | Method and apparatus for reducing channel capacity required to report a billable consumption of a utility commodity |
US6529883B1 (en) * | 1999-08-20 | 2003-03-04 | Motorola, Inc. | Prepayment energy metering system with two-way smart card communications |
-
2001
- 2001-03-29 DE DE10116703A patent/DE10116703A1/de not_active Ceased
-
2002
- 2002-03-01 EP EP02090093A patent/EP1246135A3/de not_active Withdrawn
- 2002-03-05 US US10/090,997 patent/US20020184157A1/en not_active Abandoned
Patent Citations (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US3962539A (en) * | 1975-02-24 | 1976-06-08 | International Business Machines Corporation | Product block cipher system for data security |
US4200770A (en) * | 1977-09-06 | 1980-04-29 | Stanford University | Cryptographic apparatus and method |
US4405829A (en) * | 1977-12-14 | 1983-09-20 | Massachusetts Institute Of Technology | Cryptographic communications system and method |
DE3123530A1 (de) * | 1981-06-13 | 1982-12-30 | Karl Dipl.-Phys. 4600 Dortmund Winter | "verfahren und vorrichtung zur herstellung und verdichtung eines inertgases" |
US4689478A (en) * | 1984-12-24 | 1987-08-25 | Ncr Corporation | System for handling transactions including a portable personal terminal |
US4812965A (en) * | 1985-08-06 | 1989-03-14 | Pitney Bowes Inc. | Remote postage meter insepction system |
DE3640448A1 (de) * | 1985-11-27 | 1987-07-09 | Triad Communications Inc | Verbrauchszaehler |
DE3703387C2 (de) * | 1986-02-06 | 1993-09-23 | Minol Messtechnik W. Lehmann Gmbh & Co, 70771 Leinfelden-Echterdingen, De | |
US4995085A (en) * | 1987-10-15 | 1991-02-19 | Siemens Aktiengesellschaft | Hearing aid adaptable for telephone listening |
US5243654A (en) * | 1991-03-18 | 1993-09-07 | Pitney Bowes Inc. | Metering system with remotely resettable time lockout |
EP0504843B1 (de) * | 1991-03-18 | 1997-05-07 | Pitney Bowes Inc. | Gebührenerfassungssystem mit aus der Ferne rückstellbarer Zeitsperre |
US5231668A (en) * | 1991-07-26 | 1993-07-27 | The United States Of America, As Represented By The Secretary Of Commerce | Digital signature algorithm |
DE4243092C2 (de) * | 1992-12-18 | 1996-03-14 | Ludwig Kreuzpaintner | Stromverteilersystem |
DE4409803A1 (de) * | 1993-03-22 | 1994-09-29 | Kundo Systemtechnik Gmbh | Anlage zur zentralen Erfassung von Energieverbrauchskosten |
US5953426A (en) * | 1997-02-11 | 1999-09-14 | Francotyp-Postalia Ag & Co. | Method and arrangement for generating and checking a security imprint |
EP0884569A1 (de) * | 1997-06-13 | 1998-12-16 | Bernina Electronic AG | Verfahren und Gerätschaft zur Verbrauchsermittlung |
US6041704A (en) * | 1997-10-29 | 2000-03-28 | Francotyp-Postalia Ag & Co. | Method for operating a digitally printing postage meter to generate and check a security imprint |
DE19754675A1 (de) * | 1997-12-10 | 1999-07-01 | Klaus Dipl Ing Weber | Einrichtung zum kundenseitigen Erfassen und Abrechnen des Haushaltsverbrauchs von Versorgungsgütern |
EP1035513A2 (de) * | 1999-03-12 | 2000-09-13 | Francotyp-Postalia Aktiengesellschaft & Co. | Sicherheitsmodul mit Statussignalisierung |
EP1035517A2 (de) * | 1999-03-12 | 2000-09-13 | Francotyp-Postalia Aktiengesellschaft & Co. | Verfahren zum Schutz eines Sicherheitsmoduls und Anordnung zur Durchführung des Verfahrens |
EP1035516A2 (de) * | 1999-03-12 | 2000-09-13 | Francotyp-Postalia AG & Co. | Anordnung für ein Sicherheitsmodul |
EP1035518A2 (de) * | 1999-03-12 | 2000-09-13 | Francotyp-Postalia Aktiengesellschaft & Co. | Verfahren zum Schutz eines Sicherheitsmoduls und Anordnung zur Durchführung des Verfahrens |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102009049434A1 (de) * | 2009-10-14 | 2011-04-21 | ITF Fröschl GmbH | Messwertgeber sowie System |
DE102012203034A1 (de) * | 2012-02-28 | 2013-08-29 | Bundesdruckerei Gmbh | Verfahren zur Personalisierung einer Smart Meter Vorrichtung mit einem Sicherheitsmodul |
DE102012203518A1 (de) * | 2012-03-06 | 2013-09-12 | Bundesdruckerei Gmbh | Verfahren zur Kommunikation von energieverbrauchsspezifischen Messdatenelementen von einer Smart Meter Vorrichtung an ein Computersystem eines Energieversorgers und/oder Messstellenbetreibers |
DE102012203518B4 (de) * | 2012-03-06 | 2021-06-17 | Bundesdruckerei Gmbh | Verfahren zur Kommunikation von energieverbrauchsspezifischen Messdatenelementen von einer Smart Meter Vorrichtung an ein Computersystem eines Energieversorgers und/oder Messstellenbetreibers |
Also Published As
Publication number | Publication date |
---|---|
EP1246135A2 (de) | 2002-10-02 |
EP1246135A3 (de) | 2004-01-07 |
US20020184157A1 (en) | 2002-12-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2755846B1 (de) | Verfahren und vorrichtung zur zuordnung eines von einer ladestation erfassten messwertes zu einer transaktion | |
EP2531368B1 (de) | Verfahren und vorrichtung zur zuordnung eines von einer ladestation erfassten messwertes zu einem nutzer | |
EP1469429B1 (de) | Verfahren zum sicheren elektronischen wählen und kryptographische protokolle und computerprogramme dafür | |
DE69737083T2 (de) | Verfahren und Vorrichtung zur Prüfung von Daten | |
DE69434621T2 (de) | Postgebührensystem mit nachprüfbarer Unversehrtheit | |
EP1098471A2 (de) | Kryptographische Vorrichtung und Verfahren mit verringerter Empfindlichkeit gegenüber einem Seitenkanalangriff | |
CN109274498A (zh) | 一种基于联盟链的智能电网数据聚合及监控方法 | |
EP1278332B1 (de) | Verfahren und System zur Echtzeitaufzeichnung mit Sicherheitsmodul | |
DE3303846A1 (de) | Verfahren zum "einschreiben" elektronischer post in einem elektronischen kommunikationssystem und anordnung zur durchfuehrung des verfahrens | |
IL139605A (en) | A method for transmitting and storing an electrical value and power meter for storing a value that uses (the same method) it | |
EP0969421A2 (de) | Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen | |
EP0795979A2 (de) | Verfahren und Anordnung zum Nachweis des Zeitpunktes der Durchführung eines kryptographischen Prozesses | |
DE10116703A1 (de) | Verfahren zur Aufzeichnung eines Verbrauchswertes und Verbrauchszähler mit einem Meßwertgeber | |
WO2012123135A1 (de) | Ladestation für elektrofahrzeuge, system und verfahren zum betreiben einer ladestation | |
AU2011268753A1 (en) | Electronic voting apparatus and method | |
EP2445746B1 (de) | Sicherung der abrechnung von über eine ladestation bezogener energie | |
EP1107190A1 (de) | Frankierverfahren und -vorrichtung | |
EP1150256B1 (de) | Verfahren zur sicheren Distribution von Sicherheitsmodulen | |
EP1619630A2 (de) | Verfahren und Anordnung zum Erstatten von Porto | |
JP2006527512A (ja) | デジタル料金納付注記の正当性証明の方法およびその実行のための装置 | |
DE60015907T2 (de) | Verfahren und Vorrichtung zur Erzeugung von Nachrichten welche eine prüfbare Behauptung enthalten dass eine Veränderliche sich innerhalb bestimmter Grenzwerte befindet | |
DE102012008519A1 (de) | Sicherung eines Energiemengenzählers gegen unbefugten Zugriff | |
DE60031470T2 (de) | Verfahren zur Zertifikation von öffentlichen Schlüsseln, die zum Signieren von Postwertzeichen verwendet werden und derart signierte Postzeichen | |
GB2211643A (en) | Authentication of a plurality of documents | |
EP2439902A2 (de) | Verfahren und Anordnung zum rechtsverbindlichen Senden und Empfangen von vertraulichen elektronischen Mitteilungen |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OM8 | Search report available as to paragraph 43 lit. 1 sentence 1 patent law | ||
8127 | New person/name/address of the applicant |
Owner name: FRANCOTYP-POSTALIA GMBH, 16547 BIRKENWERDER, DE |
|
8110 | Request for examination paragraph 44 | ||
R084 | Declaration of willingness to licence |
Effective date: 20130124 |
|
R081 | Change of applicant/patentee |
Owner name: FRANCOTYP-POSTALIA GMBH, DE Free format text: FORMER OWNER: FRANCOTYP-POSTALIA GMBH, 16547 BIRKENWERDER, DE Effective date: 20150330 |
|
R002 | Refusal decision in examination/registration proceedings | ||
R003 | Refusal decision now final |